精华内容
下载资源
问答
  • NTFS文件系统USN日志

    万次阅读 2010-10-28 09:05:00
    当年微软发布Windows 2000时,建立NTFS 5.0的同时,加入了一些新功能和改进了旧版本的文件系统,为它请来了一位可靠的秘书,它可以在分区中设置监视更改的文件和目录的数量,记录下监视对象修改时间和修改内容。...

      USNUpdate Service Number Journal or Change Journal的英文缩写,直译为更新序列号,是对NTFS卷里所修改过的信息进行相关记录的功能。当年微软发布Windows 2000时,建立NTFS 5.0的同时,加入了一些新功能和改进了旧版本的文件系统,为它请来了一位可靠的秘书,它可以在分区中设置监视更改的文件和目录的数量,记录下监视对象修改时间和修改内容。没错,它就是USN日志。当这个功能启用时,对于每一个NTFS卷,当发生有关添加、删除和修改文件的信息时,NTFS都使用USN日志记录下来。

      真高效!探访秘书的工作

      NTFS秘书——USN日志的工作方式,相对来说很简单,所以非常的高效。它开始的时候是一个空文件,包括NTFS每个卷的信息。每当NTFS卷有改变的时候,所改变的信息会马上被添加到这个文件里。这其中,每条修改的记录都使用特定符号来标识为日志形式,也就是USN日志。每条日志,记录了包括文件名、文件信息做出的改变。怎样在系统中让秘书开始干活儿呢?如图2所示,在NTFS分区的图标上右击选择属性,勾选圈中部分即可。

      忠诚的秘书只为NTFS效劳

      USN秘书不仅工作高效,而且非常的忠诚,虽然这种忠诚看起来有点迫不得已。日志里包括发生了什么变化(添加、删除或其他操作),但并不会记录数据或其他变化的细节,所以它只能工作在NTFS文件系统中。

      看到上面的描述,你也许还是比较难以理解,那么就举个例子说明一下。USN日志为什么不能在FAT32文件系统下运用呢?就像钢笔不能在宣纸上记录,只能在普通纸上记录一样。USN日志相当于一本书的索引,当然书里面内容发生添加、修改或删除的时候,USN日志会记录下来何时做了修改,并使用特定序列号来标识,但它并不会记录里面具体修改了什么东西,所以索引文件很小。而当你想查找某一篇文章时,你就不用一页一页去翻书,可以直接通过查找USN日志(也就是建立的索引)就知道这篇文章是否存在。

                                                                                                                                      ----------摘自百度知道

     

     

     

     

    展开全文
  • 前言:最近由于项目需要,研究了一下NTFS文件系统NTFS文件系统是windows使用的文件系统,包括NT,2000,xp系列。无奈万恶资本主义的windows将自家的东西全部藏在阴暗的角落,NTFS理所当然地也不开源,尽管没有源代码...

    前言:最近由于项目需要,研究了一下NTFS文件系统,NTFS文件系统是windows使用的文件系统,包括NT,2000,xp系列。无奈万恶资本主义的windows将自家的东西全部藏在阴暗的角落,NTFS理所当然地也不开源,尽管没有源代码,还是有足够丰富的资料将NTFS文件系统曝光在自由的阳光下。下面通过从NTFS文件系统的根源出发,展示如何通过一层层的解析,最终读取到其中的某个文件。

    环境:LINUX Ubuntu16.04,待解析的文件系统:NTFS,追踪其中的文件:C:\WINDOWS\DtcInstall.log(随机找的,仅仅以此为例)

    说明:本人找了一块完整的NTFS文件系统镜像,它里面是一个完整的Windows XP系统,是从Windows XP虚拟机镜像切下来的(因为虚拟机镜像不止包括完整的文件系统,例如我的这块虚拟机镜像从第0x7E000字节以后才是完整的NTFS文件系统),这些都不重要,重要的是现在你只要有一块完整的NTFS文件系统,当然必须是Window XP系统的,因为我们还有追踪C:\WINDOWS\DtcInstall.log这个文件,所以其实在Windows XP中使用Disk Genius打开你C盘分区就是一块完整的NTFS文件系统,如果以16进制查看应该是这样的:

    NTFS文件系统的布局:

    BOOT存放一些文件系统基本信息,如一个扇区512bytes,一簇(cluster)有8个扇区,共4K,比较重要的一项是MFT的偏移簇号。

    MFT是NTFS中最重要的部分,它是一个个以“FILE"开始的文件记录数据结构。

    struct 文件记录{
    文件记录头;
    属性1;
    属性2;
    属性3;
    ……
    }


    而属性包括属性头和属性体两部分,如下属性的数据结构。

    struct 属性{
    属性头;
    属性体;
    }

    所以,下面的文件记录结构举例请参考文件记录结构、文件记录头结构、属性头结构、不同属性体结构来看!

    这个数据结构就是文件的全部信息,文件的各种属性都放在这个数据结构中,在NTFS中文件内容也属于文件的属性,所以在NTFS中文件的一切都是属性,比如在这个数据结构中有30H属性记录文件名,10H属性记录文件的一些元信息如创建、访问时间等,而80H属性则是文件的内容,因为一个文件记录数据结构仅仅4K,所以如果文件很大,80H属性存放的不再是文件内容,而是存放文件内容的簇索引号run list.对于run list 解析以后介绍,这里知道它是文件内容的簇偏移索引即可。举例说明,如DctInstall.log文件的文件记录如图:

    注意这个文件内容是160字节,80H属性能够包括全部内容,所以这个80H属性是常驻属性,如果是非常驻属性,则文件内容在run list表示的簇偏移中。注意常驻属性和非常驻属性的结构是不一样的。

    NTFS系统的其他部分比如FreeSpace等相关性不大,不做解释,可参考其他资料。

    第一步,定位根目录:

    通过BOOT块中的信息获取MFT偏移量为第0x40000簇,如图,而根目录在MFT的第6个文件记录。

    MFT偏移簇数0x4000

    MFT0到11个固定的文件记录,第6个为根目录的文件记录

    找到根目录的文件记录的偏移位置,主要关注他的A0H属性,因为这个属性记录根目录中所有文件的文件名以及文件记录的位置。如图(再次强调,务必参考文件记录的结构理解图片内容)

    根目录的文件记录

    第二步:找到根目录的索引节点和WINDOWS目录索引项

    由根目录的文件记录的A0H属性的run list :0x31 01 52f909,根据run list的特殊计算方式(具体可参考文末链接)即第一个字节的3代表后三字节为簇偏移量,第一个字节的1代表共一簇。所以记录根文件中所有文件的文件名以及文件记录号的簇偏移位置为0x09f952(ntfs采用小端方式存储数据),共一簇。所以现在偏移到0x09f952簇查看具体内容。如图所示(请务必参考索引节点的数据结构阅读图片):

    其中索引节点的数据结构:

    struct 索引节点{
    索引头;
    索引项1;
    索引项2;
    索引项3;
    ……
    }

    由图片可以看出,根目录的索引节点有索引头和一个个索引项构成,其中这一个个索引项和根目录中的每个文件或目录一一对应,这些目录项的文件名就是根目录中文件或目录的名称。我们现在偏移到根目录下目录名为WINDOWS的索引项,如图:

    WINDOWS目录的索引项

    第三步:定位WINDOWS目录的文件记录

    由WINDOWS索引项的MFT号,即起始的8个字节,可以计算出WINDOWS目录的文件记录号,即ox0000 0000 001c=28,所以WINDOWS目录的文件记录号为28,相对于MFT起始位置偏移28项,0x28*0x400=0x7000。和根目录一样,因为WINDOWS是个目录,所以仍然关注A0H属性,因为此属性记录WINDOWS目录中所有文件或目录的名称和MFT号(文件记录号),WINDOWS目录的文件记录如图:

    WINDOWS目录的文件记录,重点关注A0H属性

    第四步:获取WINDOWS目录的索引节点以及WINDOWS目录下DtcInstall.log的索引项

    如上图run list 不止一项,先取第一项0x31 0a a1a606,即WINDOWS目录中一部分文件或目录的索引项信息(包括文件或目录名以及文件或目录的MFT号)在簇偏移为ox06a6a1处,共有0x01簇。

    现在偏移到435873簇(0x06a6a1),内容如图,与根目录下的索引项内容类似,可以发现我们要找到DtcInstall.log文件名已经出现。

    DtcInstall.log的索引项

    第五步:获取DtcInstall.log文件的MFT号,偏移到指定位置

    从DtcInstall.log索引项中我们可以发现该文件的MFT号为ox15f9,所以该文件的文件记录在MFT的偏移位置为ox15f9*0x400=0x57e400,找到该偏移位置,如图(这个图上面贴过):

    该文件记录存储着DtcInstall.log的全部信息,包括文件内容,由于文件内容小,所以80H属性可以容纳全部,所以是常驻属性,否则应该是非常驻属性,而且非常驻属性的最后是run list 指向文件内容的真正簇偏移。

    结束

    至此,对NTFS文件系统中某个文件的追踪过程全部结束,本文着重解释文件在NTFS文件系统的逻辑关系,对于NTFS文件系统的基础知识不做过多介绍,所以阅读本文前,可以参考文末链接了解NTFS的基础知识。另外,人非圣贤,过程中难免有错误,欢迎批评指正!

    参考资料:

    http://dubeyko.com/development/FileSystems/NTFS/ntfsdoc.pdf

    详解NTFS文件系统

    NTFS文件系统取证分析

    欢迎大家扫描关注公众号:编程真相,获取更多精彩的编程技术文章!

     

     

    展开全文
  • 什么是NTFS文件系统

    2015-07-02 11:37:52
    什么NTFS文件系统?简单的说电脑都是有文件系统的,即在存储设备上组织文件的方法。操作系统中负责管理和存储文件信息的软件机构称为文件管理系统,简称文件系统。也就是我们所说的分区。NTFS文件系统就是其中之一。...

    什么NTFS文件系统?简单的说电脑都是有文件系统的,即在存储设备上组织文件的方法。操作系统中负责管理和存储文件信息的软件机构称为文件管理系统,简称文件系统。也就是我们所说的分区。NTFS文件系统就是其中之一。

    NTFS磁盘
    图一:磁盘文件系统

    NTFS的特点主要体现在以下几个方面:


    • 1. NTFS可以支持的分区大小可以达到2TB。而Windows 2000中的FAT32支持分区的大小最大为32GB。
    • 2. NTFS是一个可恢复的文件系统。
    • 3. NTFS支持对分区、文件夹和文件的压缩。
    • 4. NTFS采用了更小的簇,可以更有效率地管理磁盘空间。相比之下,NTFS和FAT32区别比较NTFS更有效地管理磁盘空间,最大限度地避免了磁   盘空间的浪费。
    • 5. 在NTFS分区上,可以为共享资源、文件夹以及文件设置访问许可权限。
    • 6. 在Win 2000的NTFS文件系统下可以进行磁盘配额管理。
    • 7. NTFS使用一个“变更”日志来跟踪记录文件所发生的变更。

      NTFS文件系统是一个基于安全性的文件系统,是Windows NT所采用的独特的文件系统结构,它是建立在保护文件和目录数据基础上,同时照顾节省存储资源、减少磁盘占用量的一种先进的文件系统。想要了解跟多信息可以去NTFS For Mac官网查看。

    展开全文
  • 1.1. NTFS文件系统概述 1 1.2. 1.1 文件系统简介 1.2 NTFS文件系统 1 1.3. 第2章 元文件$MFT文件记录结构 1 1.4. 第3章 NTFS文件系统的元文件 2 1.4.1. 3.1 元文件$MFT 2 1.4.2. 3.2 元文件$MFTMir...

    Atitit 文件系统概论   艾提拉著

     

    目录

    1. NTFS系统 1

    1.1.  NTFS文件系统概述 1

    1.2.   1.1  文件系统简介  1.2  NTFS文件系统 1

    1.3. 第2章  元文件$MFT文件记录结构 1

    1.4. 第3章  NTFS文件系统的元文件 2

    1.4.1.   3.1  元文件$MFT 2

    1.4.2.  3.2  元文件$MFTMirr 2

    1.4.3.   3.3  元文件$LogFile 2

    1.4.4.  3.4 元文件$Volume 2

    1.4.5.  3.5  元文件$AttrDef 2

    1.5. 第4章  NTFS索引节点结构、根目录与回收站 3

    1.6. 第5章  文件基本操作对NTFS元文件的影响 3

    2. FAT32 3

    3. LINUX EXT 3

     

    1. NTFS系统

     

     

      1.  NTFS文件系统概述
      2.   1.1  文件系统简介  1.2  NTFS文件系统


        1.2.1  NTFS文件系统简介
        1.2.2  NTFS文件系统的发展历史
        1.2.3  NTFS文件系统的主要特性
        1.2.4  与NTFS文件系统有关的概念
        1.2.5  NTFS文件系统的元文件和总体布局
        1.2.6  NTFS文件系统引导扇区
        1.2.7  有关NTFS文件系统容量计算的公式

      1. 第2章  元文件$MFT文件记录结构

    2.1  元文件$MFT概述

      2.1.1  元文件$MFT的总体结构

     2.1.2  文件记录结构

      2.1.3  文件记录头结构

     2.1.4  记录属性及其分类

    2.2  文件和文件夹常用属性介绍

      2.2.1  10H属性

     2.2.2  30H属性

      2.2.3  80H属性

     2.2.4  90H属性

      2.2.5  AOH属性

     2.2.6  BOH属性

    2.3  文件和文件夹不常用属性介绍-

      2.3.1  20H属性

     2.3.2  40H属性

     2.3.3  50H属性

      2.3.4  60H属性

      2.3.5  70H属性

        2.3.6  COH属性

        2.3.7  DOH属性

        2.3.8  EOH属性

        2.3.9  100H属性

      1. 第3章  NTFS文件系统的元文件
        1.   3.1  元文件$MFT
        2.  3.2  元文件$MFTMirr
        3.   3.3  元文件$LogFile
        4.  3.4 元文件$Volume
        5.  3.5  元文件$AttrDef

      3.6 元文件“”

     3.7  元文件$Bitmap

     3.8  元文件$Boot

      3.9  元文件$BadClus

     3.10  元文件$Secure

      3.11  元文件$UpCase

     3.12 元文件$Extend

      3.13  元文件$Quota

     3.14  元文件$ObjId

      3.15  元文件$Reparse

     3.16  元文件$RmMetadata

      3.17  元文件$Repair

      1. 第4章  NTFS索引节点结构、根目录与回收站

      4.1  索引节点结构

      4.2  B—树和B十树的差异

      4.3  小目录的B—树结构

      4.4  中目录的B—树结构

      4.5  大目录的B—树结构

      4.6  长文件名的B—树结构

      4.7  根目录的结构

      4.8  回收站的结构

        4.8.1  WindowsXP回收站的结构

        4.8.2  Windows 7回收站的结构

      1. 第5章  文件基本操作对NTFS元文件的影响

      5.1  建立文件对$MFT和索引目录等的影响

    ……
    第6章 NTFS文件系统下的数据恢复

     

    1. FAT32
    2. LINUX EXT
      1. ext4介绍

    ext4是第四代扩展文件系统(英语:Fourth EXtended filesystem,缩写为ext4)是linux系统下的日志文件系统,是ext3文件系统的后继版本
    ext4的文件系统容量达到1EB,而文件容量则达到16TB,这是一个非常大的数字了。对一般的台式机和服务器而言,这可能并不重要,但对于大型磁盘阵列的用户而言,这就非常重要了。
    ext3目前只支持32000个子目录,而ext4取消了这一限制,理论上支持无限数量的子目录

     

     

    《NTFS文件系统实例详解》(陈培德)【简介_书评_在线阅读】 - 当当图书.html

    展开全文
  • 摘 要:详细分析了Windows NT操作系统使用的NTFS文件系统的基本结构,深入剖析了其主控文件表MFT、MFT记录、文 件结构和目录结构等基本数据的结构。针对NTFS的卷结构,目录与文件结构、日志文件系统、故障时数据恢复...
  • FAT和NTFS文件系统

    2016-10-24 22:57:59
    了解下Windows NT 下的 FAT和 NTFS 文件系统。 参考了官网文章: https://support.microsoft.com/zh-cn/kb/100108FAT 文件系统Windows NT 支持的最简单的文件系统。FAT 文件系统的特点在于文件分配表 (FAT),位于...
  • NTFS文件系统的简述

    2016-07-04 16:27:33
    NTFS文件系统的设计思想基于稳定性、和安全性并支持大容量存储设备的文件系统:1....NTFS文件系统可以通过使用标准的事务处理日志和恢复技术来保证分区的一致性。发生系统失败事件时。NTFS文件系统会使用日志文件和...
  • NTFS文件系统中,每一个文件或目录都拥有一个MFT记录,MFT记录中记录了文件或目录的基本信息,对于普通文件来说,一般拥有文件序号,文件名,创建时间,文件大小,文件属性,文件数据地址索引等基本文件信息,而一...
  • NTFS文件系统规范

    2010-07-15 17:02:59
    和FAT/FAT32文件系统相比,NTFS文件系统主要有以下优点。 •支持大容量存储单元(最大支持 GB) •内建数据压缩支持 •支持事务日志文件 •加强数据安全 目录 基本数据类型 3 MFT文件记录 3 更新序列号 4 虚拟簇号...
  • windows server 2008的NTFS文件系统管理

    千次阅读 2013-05-24 22:53:06
    将FAT32文件系统转换为NTFS 查看文件系统 打开“计算机”,右键D盘,选择“属性→常规” ...在命令提示符中输入:convert f:/fs:ntfs即可将F盘文件系统转换为NTFS文件系统 设置标准权限
  • NTFS文件系统详细分析

    千次阅读 2019-01-08 13:27:00
    NTFS文件系统详细分析 第一部分 什么是NTFS文件系统 想要了解NTFS,我们首先应该认识一下FAT。FAT(File Allocation Table)是“文件分配表”的意思。对我们来说,它的意义在于对硬盘分区的管理。FAT16、FAT32、...
  • NTFS文件系统详解 之 文件定位

    千次阅读 多人点赞 2018-09-11 11:54:09
    一如既往的叨叨  首先要对硬盘分区(MBR、GPT)和文件系统(NTFS、FAT32等)有一定的认识,要知道MBR扇区以及DBR扇区的基本结构,如果后面遇到不清楚的地方可以参考上一篇文章...还有Google呢。  接下来的代码目前只...
  • NTFS 文件系统权限设置

    千次阅读 2013-05-21 21:20:05
    为了保证Windows系统的安全稳定,很多用户都是使用NTFS文件系统,因此共享文件夹的访问权限不但受到“共享权限”限制,还受到 NTFS文件系统的ACL(访问控制列表)包含的访问权限的制约。下面笔者就以“lyg”共享...
  • NTFS文件系统

    2010-09-11 18:24:00
    一、什么是文件系统NTFS   首先,需要澄清读者对于文件系统的一些错误理解,经常有这样的说法,“我的硬盘是FAT32格式的”,“C盘是NTFS格式”等,它们的错误在于,NTFS或是FAT32并不是格式,而是...
  • 详解NTFS文件系统

    2010-02-09 10:08:00
    微软Windows操作系统中,有两种文件系统:FAT文件系统和NTFS文件系统。在本文中,我会详细介绍微软的NTFS文件系统。NTFS稳定性和安全性 微软做的很多事情都让他们受尽责备。但是它做的一件非常好的事情就是创建了一...
  • CentOS下支持挂载exFAT与NTFS文件系统

    万次阅读 2017-05-01 21:16:55
    GitHub CentOS下支持挂载exFAT与NTFS文件系统 AderXCoding/system/tools/centos_mount_exfat_ntfs 本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可, 转载请注明出处, 谢谢合作 1 ...
  • 何为文件系统文件系统是数据在磁盘上面的逻辑组织形式,也就是说,文件系统时管理数据如何在磁盘上存储和访问的。所以说,文件系统是整个操作系统的基础。 常见的文件系统: FAT(FAT12\FAT16和FAT32)、NTFS...
  • NTFS中,所有存储在卷上的数据都包含在文件中,包括用来定位和获取文件的数据结构,引导程序和记录这个卷的记录(NTFS元数据)的...在文件中存储一切使得文件系统很容易定位和维护数据,而在NTFS中,卷中所
  • NTFS 文件系统解析

    千次阅读 2017-11-22 22:00:44
    原文地址: ... 1. windows 下磁盘文件读写 下面是读取D:\磁盘上的第0扇区 512 Bytes CreateFile()打开磁盘,获取文件句柄; SetFilePointer()设置读写的位置; ReadFile()读取磁盘扇区数据
  • 深度解析NTFS文件系统

    2009-08-13 15:21:20
    微软视窗操作系统中,有两种文件系统:FAT文件系统和NTFS文件系统。本段文字中,旨在讨论微软的NTFS文件系统。 NTFS稳定性和安全性 微软做的很多事情都让他们受尽责备。但是它做的一件非常好的事情就是创建了一个...
  • <br />微软Windows操作系统中,有两种文件系统:FAT文件系统和NTFS文件系统。在本文中,我会详细介绍微软的NTFS文件系统。NTFS稳定性和安全性   微软做的很多事情都让他们受尽责备。但是它做的一件非常...
  • 重新认识NTFS文件系统

    2015-09-25 11:32:36
    虽然许多读者都知道NTFS这个名词,但细细深究起来却又似懂非懂,比如... 首先,需要澄清读者对于文件系统的一些错误理解,经常有这样的说法,“我的硬盘是FAT32格式的”,“C盘是NTFS格式”等,它们的错误在于,NTFS
  • NTFS文件系统结构分析

    千次阅读 2006-07-26 14:12:00
    NTFS文件系统结构分析 在NTFS文件系统中,文件存取是按簇进行分配,一个簇必需是物理扇区的整数倍,而且总是2的整数次方。NTFS文件系统并不去关心什么是扇区,也不会去关心扇区到底有多大(如是不是512字节),而簇...
  • NTFS文件系统详细分析 .

    千次阅读 2014-05-22 23:43:04
    第一部分 什么是NTFS文件系统  想要了解NTFS,我们首先应该认识一下FAT。FAT(File Allocation Table)是“文件分配表”的意思。对我们来说,它的意义在于对硬盘分区的管理。FAT16、FAT32、NTFS是目前最常见的三...
  • 多线程与NTFS文件系统

    2011-07-22 14:07:38
    在一个程序中采用了读取NTFS文件系统的B+索引的方式来快速获取一个目录及其子目录和文件的元数据信息。该方法确实比通过Windows API一层一层遍历目录快很多。不过在应用时确发现了才发现NTFS文件系统的一个特性。...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 17,705
精华内容 7,082
关键字:

ntfs文件系统日志